• Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen ggf. anhand einer Zielgruppenorientierung (Geschäftsleitung, Führungskräfte, besondere Funktionsgruppen, Mitarbeiter, ggf. Fremdpersonal bzw. Auftragsdatenverarbeiter [bspw. externe IT-Dienstleister] durch geeignete Maßnahmen über die Vorschriften der DSGVO sowie anderer Vorschriften über den Datenschutz und vertraut machen mit den jeweiligen besonderen Erfordernissen des Datenschutzes (bspw. durch Online-Selbstschulungen; persönliche Gruppenschulungen, um zu gewährleisten, dass jeder Mitarbeiter die für ihn relevanten Datenschutzregeln kennt und beachtet; Dokumentation der Schulungsteilnahme; Lernerfolgskontrolle).
• gesonderte Schulung des Betriebsrats und der Personalabteilung über die besonderen Erfordernisse des Arbeitnehmerdatenschutzes.
• Einsatz unterschiedlicher Medien wie Merkblätter oder Broschüren, Veröffentlichung von Hinweisen und Fachbeiträgen zu datenschutzrechtlicher Fragen allgemeiner oder gruppenspezifischer Art sowie zu besonderen Vorkommnissen im Intranet oder am “Schwarzen Brett”.
•  

• Führen von Verzeichnis von Verarbeitungstätigkeiten.
• Einsatz eines entsprechenden Software-Tools zur zweckentsprechenden Erfassung, Verwaltung und Auswertung der vorgeschriebenen Informationen über ein Verarbeitungsverfahren.

Vornahme von Vorabkontrollen nach der DESGVO bei solchen automatisierten Verarbeitungen personenbezogener Daten, welche besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

• Entwicklung, Implementierung und Weiterentwicklung von betriebsinternen Richtlinien zum Datenschutz (betriebsinterne Standards zum Umgang mit personenbezogenen Daten, Nutzung der betrieblichen IT-Infrastruktur, Nutzung der Telefon-, Fax-, Internet- und E-Mail-Dienste, Zugang zu Betriebsräumen, Verwendung von Passwörtern, Verschlüsselung von Daten, Entsorgung von Datenträgern etc.), entweder in Form von verbindlichen Dienstanweisungen oder bei Vorhandensein eines Betriebsrates in Form von Betriebsvereinbarungen in Zusammenarbeit mit den betroffenen betriebsinternen Stellen (Personal-, IT-, Rechts-, ggf. Vertriebs-/Marketing-, Einkaufsabteilung und Betriebsrat).
• Bereitstellung entsprechender Entwürfe.
• Koordinierung der Maßnahmen mit Management, Personalabteilung und Betriebsrat.
• Durchführung von Kontrollen.

• Ermittlung datenschutzrechtlichen Handlungsbedarfes infolge einer Auftragsvergabe an (konzern-) interne oder externe Dienstleister.
• Bereitstellung entsprechender Vertragsentwürfe.
• Gestaltung entsprechender Weisungen.
• Durchführung von Kontrollen.
• Regelungen zur Funktionsübertragung.

• Ermittlung der datenschutzrechtlichen Zulässigkeit und des Handlungsbedarfes (Zulässigkeitsvoraussetzungen EU/EWR/Drittstaaten, Beurteilung des Angemessenheit des Datenschutzniveaus, Genehmigungsverfahren der Aufsichtsbehörden, Datenübermittlung im Konzerngefüge, Besonderheiten bei Mitarbeiterdaten, Grenzüberschreitende DViA, “Offshoring”, “Nearshoring”).
• Bereitstellung entsprechender Garantien bei einer Datenübermittlung in einen Drittstaat ohne angemessenes Datenschutzniveau (z.B. Vertragslösung, Standardvertragsklauseln der EU-Kommission, Safe Harbor Principles, Codes of Conduct).

• Im Innenverhältnis (dienstliche/private Nutzung des Telefon-, E-Mail-, Internet- und Intranet-Dienstes, Social Media Richtlinie, Mitarbeiterdaten im Internet/Intranet, Filterung von E-Mails).

• Im Außenverhältnis (Webauftritt; Impressumspflichten/Anbieterkennzeichnung; Konformität der Inhalte, insbesondere der Texte, Fotos, Illustrationen und Sounds sowie des Layouts der Homepage selbst mit dem UrhG; Konformität des Domainnamens mit Namens- oder Markenrechten Dritter; Kontrolle der verlinkten Seiten auf offensichtlich rechtswidrige Inhalte um eine Haftung für Fremdinhalte zu vermeiden; Bereitstellung einer Datenschutzerklärung bzw. “Privacy Policy” [beinhaltet möglichst detaillierte Informationen über die Art, die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten, insbesondere deren Weitergabe an Dritte, die Dauer der Speicherung und die Möglichkeit der Löschung sowie Fragen zur Datensicherheit: Unterrichtung des Nutzers über die Verarbeitung seiner personenbezogenen Daten; Hinweise des Nutzers auf Widerspruchsrechte; Beachtung der Erfordernisse einer Einwilligung und des Rechts auf Widerruf nach; Unterrichtung über technisch-organisatorische Vorkehrungen; Sicherstellen des Rechts auf Auskunft; Hinweis auf das Setzen von Cookies und Google Analytics, datenschutzgerechte Gestaltung von Eingabeformularen]; Beachtung datenschutz- und wettbewerbsrechtlicher Erfordernisse bei Newslettern, Direkt- und E-Mail-Marketing; ggf. Beachtung jugendschutzrechtlicher Vorgaben; Informationspflichten gegenüber Verbrauchern im Fernabsatz und Pflichten im elektronischen Geschäftsverkehr.

Durch Implementierung organisatorischer Maßnahmen sind insbesondere folgende Betroffenenrechte betriebsinterner Art (arbeitnehmerbezogene Datenverarbeitung) sowie betriebsexterner Art (kunden-, lieferanten-, auftragnehmerbezogene Datenverarbeitung) sicherzustellen:

• Unterrichtung
• Benachrichtigung
• Auskunft gem
• Berichtigung, Löschung und Sperrung
• Widerspruch

Beratung (bspw. in Form von persönlichen Gesprächen, Telefonaten, E-Mails, Briefen, Stellungnahmen, Gutachten) in Datenschutzfragen (bspw. allgemeine Fragen zum Datenschutzrecht; praktische Fragen zur Umsetzung von Rechtsvorschriften; Anforderungen der Aufsichtsbehörden; Fragen zur arbeitsplatz-, arbeitnehmer-, kunden-, lieferanten-, auftragnehmerbezogenen Datenverarbeitung; datenschutzgerechter Internetauftritt; Outsourcing [Datenverarbeitung im Auftrag, Funktionsübertragung]; datenschutzkonforme Datenübermittlung ins Ausland) von:

• Geschäftsführung, Management bzw. Leitungs- und Planungsgremien (insbesondere Abteilungen IT [bspw. Implementierung der technischen und organisatorischen Maßnahmen entsprechend der Anlage zu DSGVO; Erstellung von Datenschutz- und IT-Sicherheitskonzepten; elektronische Archivierung], Personal [s. Ausführungen zu Betriebsrat], Vertrieb/Marketing [bspw. Customer Relationship Management – CRM, Kundenbindungsprogramme, personenbezogene Marketing-Aktivitäten, Einwilligungsmanagement, werbliche Ansprache]);
• Betriebsrat (Datenschutzpflichten des Betriebsrates; Rechtsgrundlagen und aktuelle Rechtsprechung zur Zulässigkeit der Verarbeitung von Mitarbeiterdaten [Mitbestimmungsrechte, Informationsrechte, Kontrollbefugnisse]; Rechte der Mitarbeiter; datenschutzgerechte Gestaltung von Personalinformationssystemen; Mitarbeiterdatenschutz im Call Center; Kontrolle von Internet- und E-Mail-Einsatz; Personaldaten im Internet; Videokontrolle; Telearbeit; Datenflüsse bei Wechsel des Arbeitgebers [bspw. Arbeitgeberauskunft, Betriebsveräußerung]; Assistenz bei der Konzeptionierung von Betriebsvereinbarungen mit Berührungspunkten zur arbeitsplatz- und arbeitnehmerbezogenen Datenverarbeitung);
• Belegschaft, Betriebsarzt, Kunden, Auftragnehmern, Lieferanten, Betroffenen.

Vertretung des Unternehmens bzw. agieren als Ansprechpartner gegenüber externen Stellen (bspw. Aufsichtsbehörden, Betroffene, Kunden, Auftragnehmer und Lieferanten) in datenschutzrechtlich relevanten Fragestellungen und Steuerung aller damit zusammenhängenden Kontakte. Vertretung des Unternehmens in Fachgremien.

• Einleitung vorbereitender Maßnahmen bei angekündigtem aufsichtsbehördlichem Besuch; Führung der Gespräche und der Verhandlungen auf Unternehmensseite.
• Beratende Tätigkeit bei Vorgängen gegenüber den Strafverfolgungs- und Sicherheitsbehörden sowie der Bundesnetzagentur, soweit die Vorgänge einen Bezug zum Daten- oder Fernmeldegeheimnis aufweisen.
• Telefonische Auskunft und Beratung in Akutfällen.
• Planung und Durchführung eines Datenschutzaudits.